Przeglądarka Firefox umożliwia przejęcie niepowołanym osobom loginów i haseł, wprowadzanych w wyskakujących okienkach logowania - poinformował na swoim blogu Aviv Raff, izraelski specjalista od bezpieczeństwa komputerowego. Błąd, potwierdzony przez Mozilla Corp., dotyczy najnowszej stabilnej wersji Firefoksa 2.0.0.11 oraz Firefox 3 beta 2.
Wykorzystując błąd Firefoksa w procesie uwierzytelniania (basic authentication) atakujący może podrobić okienko logowania, wykorzystywane na różnych stronach wymagających od internauty dostępu na hasło (np. poczcie elektronicznej, systemach płatności) i dzięki temu przejąć poufne dane ofiary.
Atak może nastąpić poprzez podstawienie ofierze na stronie odnośnika do zaufanej witryny, który - po jej uruchomieniu w tle - wywołuje sfałszowane okienko, a następnie przesyła na serwer przestępcy wprowadzone dane.
Według Raffa poufne dane można również zdobyć podsyłając ofierze obrazek podlinkowany do odpowiednio spreparowanej witryny wywołującej okienko logowania, np. poprzez e-mail, w treści wiadomości w kanale RSS, czy też umieszczając go na blogach, forach i innych stronach internetowych.
Mozilla Corp. poinformowała na swoim blogu poświęconym bezpieczeństwu, że jej programiści już badają błąd. Na razie oceniono poziom zagrożenia jako niski. Jeśli jednak w wyniku kontroli nastąpi zmiana zaszeregowania zagrożenia, to możemy zapewne spodziewać się szybkiej aktualizacji przeglądarki Firefox.
Aviv Raff zaleca, by nie użytkownicy wspomnianych wersji tej przeglądarki nie podawali swoich danych na stronach, które wywołują okienko logowania. Odkrywca błędu umieścił na YouTube krótkie wideo (bardzo słabej jakości) prezentujące przykład ataku:
Dodaj nowy 
Zobacz wszystkie (13) 
Śledź przez RSS
Poprzedni
Pobieranie danych...
